image

Britse overheid wil verbod op standaard wachtwoorden voor IoT-apparaten

donderdag 16 juli 2020, 14:55 door Redactie, 2 reacties

De Britse overheid werkt aan wetgeving die standaard wachtwoorden voor Internet of Things-apparaten, smartphones en computers verbiedt. Ook moeten fabrikanten duidelijk maken hoelang ze hun apparatuur van beveiligingsupdates blijven voorzien en waar onderzoekers gevonden kwetsbaarheden kunnen melden.

Dat staat in een wetsvoorstel waar Britse burgers op kunnen reageren. Het is voor het eerst dat de Britse overheid een gedetailleerd wetsvoorstel openbaar maakt en het publiek om reacties vraagt, zo meldt het Britse National Cyber Security Centre (NCSC). Volgens Matt Warman, minister voor Digitale Infrastructuur, moet de wetgeving voor veiligere smart producten zorgen.

Het gaat echter niet alleen om IoT-apparatuur voor eindgebruikers. Ten opzichte van een eerdere versie van het voorstel zijn ook smartphones, laptops en pc's toegevoegd. Voor dergelijke apparatuur gelden straks drie voorwaarden. Producten die niet aan deze eisen voldoen mogen, als het wetsvoorstel wordt aangenomen, niet in het Verenigd Koninkrijk worden verkocht.

De eerste eis is een verbod op het leveren van producten met standaard wachtwoorden. Daarbij is de Britse overheid ook van plan om unieke wachtwoorden te verbieden als die eenvoudig te raden zijn. Het niet gebruik van wachtwoorden is volgens de overheid de eenvoudigste manier om aan deze eis te voldoen. Gebruikers zouden in plaats van een wachtwoord via een app verbinding met hun apparaat kunnen maken. Wanneer een wachtwoord toch is vereist, zou dit door de gebruiker zelf moeten worden opgegeven.

De tweede vereiste is een methode voor onderzoekers om kwetsbaarheden te rapporteren. Via een vulnerability disclosure policy moeten fabrikanten laten weten hoe ze zijn te benaderen en hoe er met ontvangen bugmeldingen wordt omgegaan. Volgens het NCSC zal deze eis ervoor zorgen dat wanneer een kwetsbaarheid in een product wordt gevonden, die sneller zal worden verholpen.

Als derde en laatste vereiste moeten fabrikanten duidelijk maken hoelang ze een product van beveiligingsupdates blijven voorzien. Deze periode moet op een toegankelijke manier worden gepubliceerd die duidelijk en transparant voor gebruikers is. "Het is voor veel producten nog steeds onduidelijk hoelang ze worden ondersteund, wat het lastig voor consumenten maakt om te bepalen of ze risico lopen", stelt het NCSC.

Britse burgers kunnen tot 6 september dit jaar op het wetsvoorstel reageren. Wanneer de wet wordt aangenomen hebben fabrikanten, zoals nu wordt voorgesteld, negen maanden de tijd om met standaard wachtwoorden te stoppen. Het doorgeven van de updateperiode moet binnen zes maanden zijn geregeld, terwijl voor het opstellen van de vulnerability disclosure policy drie maanden is genomen.

Reacties (2)
16-07-2020, 16:25 door Anoniem
Dus die spionage laten ze gewoon doorgaan voor hun eigen en de amerikaanse geheime dienst ?

Een fabrikant die met opzet zijn software lek maakt "zoals adobe" word geen rekening mee gehouden.
Hoevaak mag een fabrikant de fout ingaan ?

Snel de wet invoeren en geen security.nl lezen.
Als je hun hierover een mailtje stuurt denk ik dat ze je totaal negeren,
hun geheime dienst is veel te belangrijk vanwege afspraken met amerika,
dat merk je wel aan het feit dat ze hier ook geen encryptie meer willen ( grapperhouse de papagaai ).
Als ze snel die wet invoeren kost het te veel moeite om er weer over te beginnen, zo gaat dat.

Een wachtwoord die op "0000" staat is nog wel begrijpelijk voor de politiek,
als er een fout word gevonden, dan repareren die allerliefste-fabriekanten het wel even voor ons met hun tovernarij,
voor de rest snappen ze er zelf niets van.
17-07-2020, 04:42 door Anoniem
Hoe is via een app verbinden veiliger dan een sterk wachtwoord afdwingen met een degelijke lockout policy?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.